Симптомы

Не работает прозрачная авторизация Kerberos (не открывается Captive-портал, Logout) из другой зоны или подсети.

Решение

В старых версиях действительно существовала данная проблема из-за внутренних алгоритмов обработки VRF, но на новых актуальных версиях 6 и 7 ситуацию исправили, теперь прозрачная аутентификация работает со всех интерфейсов и зон при корректных настройках по статье документации https://docs.usergate.com/avtorizaciya-s-pomosh6yu-kerberos_15.html

На 7 версии для явного прокси из подсетей за разными интерфейсами NGFW лучшим решением будет использование loopback интерфейса.

Workaround для старых версий 6.1.9:

Явный прокси:

Необходимо создать правило DNAT из другой подсети, в которой указать в качестве адреса назначения IP, в который резолвится А-запись auth.domain.local, выбрать сервис 8090\TCP, а во вкладке DNAT указать IP интерфейса из зоны подсети источника.
При этом на зоне источника необходимо включить сервисы captive-портала и HTTP(S)-прокси, в правиле captive-портала задействовать зону источника (если она другая). На клиентах прописать явный proxy в виде FQDN.

В случае, если в общих настройках используется нестандартный порт прокси, например 3128, необходимо сделать правило Порт-форвардинга, в котором указать оригинальный порт назначения 3128, а новый порт назначения 8090, остальные параметры согласно тексту выше.

Прозрачный прокси:

Необходимо создать правило DNAT из другой подсети, в которой указать в качестве адреса назначения IP сервера DNS (он же DC, который прописан на клиентах), выбрать сервис DNS 53\UDP, а во вкладке DNAT указать IP интерфейса UG из зоны подсети источника. На UG в разделе Сеть - DNS прописать правило DNS-прокси для запросов вида *.domain.local к серверам DC.
При этом на зоне источника необходимо включить сервисы captive-портала и HTTP(S)-прокси, DNS, в правиле captive-портала задействовать зону источника (если она другая).

Правила DNAT нужны для всех зон за интерфейсами, за которыми имеются клиенты, каждое правило должно разрешать в свой адрес. Для этого зоны должны быть разными.

Примечание

Начиная с Windows 2016 на DC можно настроить DNS policies, благодаря которым появляется возможность резолвить FQDN в разные IP, в зависимости откуда DNS запрос пришел.